• Туннель GRE может подключаться к локальной сети с несколькими сетевыми протоколами через сеть IPv4, эффективно используя исходную архитектуру сети и снижая затраты. Протокол инкапсуляции протокол инкапсуляции заголовок GRE заполняется и заполняется протоколом инкапсуляции, который также называется протоколом несущей. Транспортный протокол транспортный протокол или протокол доставки протокол, отвечающий за пересылку инкапсулированных сообщений, называется транспортным протоколом.

Туннель GRE

Если в вашей компании имеется удаленный филиал, в котором также установлен ИКС, то для объединения локальных сетей безопасным способом наиболее подходящим решением будет настройка шифрованного туннеля между ними.

Для обеспечения безопасности передачи данных в туннеле используется IPSec . Защита передачи данных по туннелям позволяет избежать утечки информации и получения ложных данных.

В ИКС можно настроить подключение между серверами статическим туннелем по IPIP — или GRE -протоколу.

Обычно выбор типа туннеля зависит от промежуточных провайдеров, которые по каким-либо причинам могут блокировать трафик GRE или IPIP, что приводит к невозможности использования какого-то одного типа туннеля. Принципиальной разницы между данными типами туннелей нет.

Добавить туннель GRE можно в меню Сеть > Провайдеры и сети. Для этого выполните следующие действия:

Нажмите кнопку «Добавить» и выберите «Туннели > Туннель GRE».

Внимание! Данную процедуру необходимо произвести на обоих концах туннеля, в противном случае передача данных работать не будет.

Внимание! При использовании IPSec-шифрования в туннелях IPIP и GRE трафик будет проходить через интерфейс enc0 . Статистика на данном интерфейсе не собирается!

• «Проверять наличие пинга внешнего IP-адреса удаленного сервера» — проверка, отвечает ли на ICMP -запросы внешний адрес удаленного сервера, который указан в общих настройках туннеля. Если пинг не будет проходить, в статусе туннеля отобразится соответствующее уведомление;
• «Проверять наличие пинга удаленного IP-адреса туннеля» — проверка доступности удаленного IP-адреса туннеля;
• «Проверять доступность серверов» — при установке флага укажите серверы, доступность которых будет проверяться.

Внимание! Для корректной работы туннеля необходимо, чтобы в межсетевом экране ИКС был разрешен GRE-трафик, а также разрешены входящие соединения с IP-адреса удаленного сервера.

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Протокол X ищет исходящий интерфейс в таблице маршрутизации или таблице пересылки в соответствии с адресом назначения в заголовке сообщения, чтобы определить, как пересылать сообщение. Если самостоятельно разобраться в нюансах не получается, пишите мне!

MikroTik Wiki | Настройка GRE/IPSec для объединения офисов

Через консоль
/ip route
add comment=»route to HQ through VPN» dst-address=192.168.15.0/24 gateway=172.16.30.1 pref-src=192.168.25.1
Это технология трехуровневой туннельной инкапсуляции, которая позволяет прозрачно передавать сообщения через туннели GRE, решая проблемы передачи в гетерогенных сетях. IP-заголовок, добавленный в процессе инкапсуляции IPSec, является адресом источника шлюза IPSec, который применяет политику безопасности IPSec, а адрес назначения — адресом интерфейса однорангового узла IPSec, который применяет политику безопасности IPSec.

Полезные материалы по MikroTik

Настройка первого маршрутизатора

Через графический интерфейс

Назначить IP-адрес GRE-туннелю, созданному на предыдущем шаге.

Через консоль

/interface gre
add name=GRE1 keepalive=10s,10 remote-address=10.1.200.1

Настройка второго маршрутизатора

Через графический интерфейс

Настройки второго маршрутизатора полностью идентичны настройкам на первом. Поэтому комментировать их мы не будем.

Через консоль

/interface gre
add name=GRE1 keepalive=10s,10 remote-address=10.1.100.1

Настройка маршрутизации

Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить следующие шаги:

На первом маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.25.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.2 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.15.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)

/ip route
add comment=»route to filial1 through VPN» dst-address=192.168.25.0/24 gateway=172.16.30.2 pref-src=192.168.15.1

На втором маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.15.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.1 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.25.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Ниже мы приводим пример настройки GRE Пример настройки GRE для реализации взаимодействия протокола IPv4 через OSPF Топология сети Идеи конфигурации. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Туннель GRE — база знаний интернет-шлюза ИКС

Проверка

1. Надо убедиться, что между двумя маршрутизаторами MikroTik установлено VPN-соединение. Это описано ниже.
2. Если VPN-соединение установлено успешно, то далее надо проверить есть ли связь между хостами в двух сетях. Для этого достаточно запустить ping с любого компьютера в сети на любой компьютер другой сети.

Через графический интерфейс

Если подключение установлено, то статус подключения должен отображаться с буквой «R«. Что значит running, т. е. запущено.

Через консоль

На обоих маршрутизаторах выполнить команду /interface gre print
Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой «R«.

В ИКС можно настроить подключение между серверами статическим туннелем по IPIP — или GRE -протоколу. Обычно выбор типа туннеля зависит от промежуточных провайдеров, которые по каким-либо причинам могут блокировать трафик GRE или IPIP, что приводит к невозможности использования какого-то одного типа туннеля. После того, как Ingress PE получает сообщение протокола X от интерфейса, подключенного к сети протокола X, оно сначала передается протоколу X для обработки.

Проверка

1. Надо убедиться, что между двумя маршрутизаторами MikroTik установлено VPN-соединение. Это описано ниже.
2. Если VPN-соединение установлено успешно, то далее надо проверить есть ли связь между хостами в двух сетях. Для этого достаточно запустить ping с любого компьютера в сети на любой компьютер другой сети.

Через графический интерфейс

Если подключение установлено, то статус подключения должен отображаться с буквой «R«. Что значит running, т. е. запущено.

Через консоль

На обоих маршрутизаторах выполнить команду /interface gre print
Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой «R«.

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Туннель GRE расширяет рабочий диапазон сетевого протокола с ограниченным числом переходов и помогает предприятиям гибко разрабатывать топологию сети. Если самостоятельно разобраться в нюансах не получается, пишите мне!

GRE подробно — Русские Блоги